Co je Fortify SCA a jak jej nainstalovat?

autor:
Tweet
Share
Share
Pin

Fortify Static Code Analyzer (SCA) analyzuje zdrojový kód a přesně určuje hlavní příčinu slabých míst zabezpečení.

Skenování Fortify upřednostňuje nejzávažnější problémy a vede, jak by je vývojáři měli opravit.

Fortify Static Code Analyzer

Fortify Static Code Analyzer má různé analyzátory zranitelnosti, jako je Buffer, Content, Control Flow, Dataflow, Semantic, Configuration a Structural. Každý z těchto analyzátorů přijímá jiný druh pravidel přizpůsobených tak, aby nabízely informace potřebné pro typ prováděné analýzy.

Fortify Static Code Analyzer má následující součásti;

  • Fortify Scan Wizard. Je to nástroj, který nabízí možnosti spouštění skriptů po analýze nebo před ní.
  • Audit pracovní stůl. Je to aplikace založená na GUI, která organizuje a spravuje analyzované výsledky.
  • Editor vlastních pravidel. Je to nástroj, který umožňuje vývojářům vytvářet a upravovat vlastní pravidla pro analýzu.
  • Plugin pro IntelliJ a Android Studio. Tento plugin poskytuje výsledky analýzy v rámci IDE.
  • Plugin pro Eclipse. Tento nástroj je integrován s Eclipse a zobrazuje výsledky v IDE.
  • Bambusový plugin. Je to plugin, který shromažďuje výsledky z Bamboo Job, která spouští analýzu.
  • Plugin Jenkins. Tento plugin shromažďuje výsledky analýzy z Jenkins Job.

Vlastnosti Fortify SCA

#1. Podporuje více jazyků

Některé z jazyků podporovaných na Fortify SCA jsou; ABAP/BSP, ActionScript, ASP (s VBScript), COBOL, ColdFusion, Apex, ASP.NET, C# (.NET), C/C++, Classic, VB.NET, VBScript, CFML, Go, HTML, Java (včetně Androidu ), JavaScript/AJAX, JSP, Kotlin, Visual Basic, MXML (Flex), Objective C/C++, PHP, PL/SQL, Python, Ruby, Swift, T-SQL a XML.

#2. Flexibilní možnosti nasazení

  • Fortify On-Prem umožňuje organizaci plnou kontrolu nad všemi aspekty Fortify SCA.
  • Fortify On Demand umožňuje vývojářům pracovat v prostředí Software As Service.
  • Fortify Hosted umožňuje vývojářům užívat si oba dva světy (On Demand a On-Prem) prostřednictvím izolovaného virtuálního prostředí s plnou kontrolou dat.

#3. Snadno se integruje s nástroji CI/CD

  • Vývojáři mohou snadno integrovat Fortify SCA s hlavními IDE, jako je Visual Studio a Eclipse.
  • Vývojáři mají kontrolu nad různými akcemi, protože se nástroj integruje s nástroji s otevřeným zdrojovým kódem, jako jsou Sonatype, WhiteSource, Snyk a BlackDuck.
  • Fortify SCA můžete také integrovat se vzdálenými úložišti kódu, jako jsou Bitbucket a GitHub. Nástroj tak může kontrolovat zranitelnost kódu přenášeného na takové platformy a odesílat zprávy.

#4. Upozornění v reálném čase

Pro provedení testů nemusíte čekat, až skončíte s kódováním, protože Fortify SCA poskytuje aktualizace v reálném čase, když kódujete. Nástroj má konfigurační a strukturální analyzátory navržené pro rychlost a efektivitu a pomáhá vám vytvářet bezpečné aplikace.

#5. Audit Assistant poháněný strojovým učením

Audit systému je rychlý pomocí Audit Assistant, který využívá algoritmy strojového učení. Asistent identifikuje všechny zranitelnosti a upřednostňuje je na základě úrovně spolehlivosti. Organizace tak mohou ušetřit náklady na audit, protože nástroj generuje zprávy.

#6. Flexibilita

Uživatelé si mohou vybrat typ skenování, který chtějí provést na základě svých potřeb. Pokud například chcete přesné a podrobné skenování, můžete vybrat možnost komplexního skenování. Vývojáři mohou také vybrat možnost rychlé kontroly, pokud chtějí detekovat pouze hlavní hrozby.

Co dělá Fortify SCA?

Fortify SCA má v typickém vývojovém ekosystému několik rolí. Následují některé z rolí;

Statické testování pomáhá vytvářet lepší kód

Statické testování zabezpečení aplikací (SAST) pomáhá identifikovat slabá místa zabezpečení v raných fázích vývoje. Naštěstí je oprava většiny těchto bezpečnostních zranitelností levná.

Takový přístup snižuje bezpečnostní rizika v aplikacích, protože testování poskytuje okamžitou zpětnou vazbu o problémech, které se do kódu dostaly během vývoje.

Vývojáři se také dozvídají o zabezpečení prostřednictvím statického testování zabezpečení aplikací a mohou tak začít vyrábět bezpečný software.

Fortify SCA využívá rozsáhlou znalostní základnu pravidel bezpečného kódování a více algoritmů k analýze zdrojového kódu softwarové aplikace na zranitelnosti zabezpečení. Tento přístup analyzuje jakoukoli možnou cestu, kterou mohou data a provádění sledovat, aby identifikovaly zranitelnosti a nabídly nápravu.

Brzy zjistí bezpečnostní problémy

Fortify SCA napodobuje kompilátor. Po skenování Fortify tento nástroj načte soubory zdrojového kódu a převede je do mezilehlé struktury vylepšené pro analýzu zabezpečení.

Všechny bezpečnostní chyby lze snadno najít v přechodném formátu. Nástroj je dodáván s analytickým nástrojem složeným z několika specializovaných analyzátorů, které pak použijí pravidla bezpečného kódování k analýze, zda kód porušuje nějaká pravidla pro postupy bezpečného kódování.

Fortify SCA také přichází s tvůrcem pravidel, pokud chcete rozšířit možnosti statické analýzy a zahrnout vlastní pravidla. Výsledky v takovém nastavení lze prohlížet v různých formátech v závislosti na úkolu a publiku.

Fortify Software Security Center (SSC) pomáhá spravovat výsledky

Fortify Software Security Center (SSC) je centralizované úložiště pro správu, které nabízí přehled o celém programu zabezpečení aplikací v organizaci. Prostřednictvím SSC mohou uživatelé auditovat, kontrolovat, stanovovat priority a řídit úsilí o nápravu, když jsou identifikovány bezpečnostní hrozby.

Fortify SSC nabízí přesný rozsah a obrázek o stavu zabezpečení aplikací v organizaci. SSC sídlí na centrálním serveru, ale získává výsledky z různých aktivit testování zabezpečení aplikací, od analýzy v reálném čase, přes dynamickou až po statickou analýzu.

Jaký typ analýzy kódu může Fortify SCA provádět?

Sken opevnění si při provádění analýzy kódu vypůjčuje z architektury zhoubných království. Toto jsou typy analýz, které Fortify SCA provádí;

  • Ověření a reprezentace vstupu – problémy spojené s ověřením a reprezentací vstupu pocházejí z alternativních kódování, číselných reprezentací a metaznaků. Příklady takových problémů jsou útoky typu „přetečení vyrovnávací paměti“, „skriptování napříč weby“ a „vkládání SQL“, ke kterým dochází, když uživatelé důvěřují vstupům.
  • Zneužívání API. To, že volající nedodrží konec smlouvy, je nejběžnějším typem zneužití API.
  • Bezpečnostní funkce. Tento test rozlišuje mezi zabezpečením softwaru a bezpečnostním softwarem. Analýza se zaměří na autentizaci, správu oprávnění, řízení přístupu, důvěrnost a kryptografii.
  • Čas a stát. Počítače mohou velmi rychle přepínat mezi různými úkoly. Časová a stavová analýza hledá defekty vyplývající z neočekávaných interakcí mezi vlákny, informacemi, procesy a časem.
  • Chyby. Fortify SCA zkontroluje, zda chyby neposkytují potenciálním útočníkům příliš mnoho informací.
  • Kvalita kódu. Špatná kvalita kódu obvykle vede k nepředvídatelnému chování. Útočníci však mohou mít šanci zmanipulovat aplikaci ve svůj prospěch, pokud narazí na kód, který je napsán špatně.
  • Zapouzdření. Toto je proces vytváření silných hranic. Taková analýza může znamenat rozlišení mezi ověřenými a nevalidovanými daty.

Stáhněte a nainstalujte Fortify SCA

Před zahájením procesu instalace musíte;

  • Zkontrolujte systémové požadavky z oficiální dokumentace
  • Získejte licenční soubor Fortify. Vyberte svůj balíček na stránce stahování Microfocus. Vyhledejte Fortify Static Code Analyzer, vytvořte si účet a získejte licenční soubor Fortify.

  • Ujistěte se, že máte nainstalovaný Visual Studio Code nebo jiný podporovaný editor kódu

Jak nainstalovat na Windows

Fortify_SCA_and_Apps_<version>_windows_x64.exe

Poznámka: je verze softwaru

  • Po přijetí licenční smlouvy klepněte na tlačítko Další.
  • Vyberte, kam se má Fortify Static Code Analyzer nainstalovat, a klikněte na Další.
  • Vyberte součásti, které chcete nainstalovat, a klepněte na tlačítko Další.
  • Určete uživatele, pokud instalujete rozšíření pro Visual Studio 2015 nebo 2017.
  • Po zadání cesty k souboru fortify.license klikněte na Další.
  • Zadejte nastavení požadovaná pro aktualizaci obsahu zabezpečení. Aktualizační server Fortify Rulepack můžete použít zadáním adresy URL jako https://update.fortify.com. Klepněte na tlačítko Další.
  • Zadejte, zda chcete nainstalovat ukázkový zdrojový kód. Klepněte na tlačítko Další.
  • Klepnutím na Další nainstalujete Fortify SCA a aplikace.
  • Klikněte na Aktualizovat obsah zabezpečení po instalaci a poté na Dokončit po dokončení instalace.

Jak nainstalovat na Linux

Při instalaci Fortify SCA na systém založený na Linuxu můžete postupovat podle stejných kroků. V prvním kroku jej však spusťte jako instalační soubor;

Fortify_SCA_and_Apps__linux_x64.run

Alternativně můžete nainstalovat Fortify SCA pomocí příkazového řádku.

Otevřete terminál a spusťte tento příkaz 

./Fortify_SCA_and_Apps__linux_x64.run --mode text

Postupujte podle všech pokynů podle pokynů na příkazovém řádku, dokud nedokončíte proces instalace.

Jak spustit skenování Fortify

Po dokončení instalace je čas nastavit nástroj pro analýzu zabezpečení.

  • Přejděte do instalačního adresáře a pomocí příkazového řádku přejděte do složky bin.
  • Zadejte scapostinstall. Poté můžete zadáním s zobrazit nastavení.
  • Nastavte národní prostředí pomocí těchto příkazů;

Zadejte 2 a vyberte Nastavení.

Napište 1 a vyberte Obecné.

Zadejte 1 a vyberte Locale

Jako jazyk zadejte English: en pro nastavení jazyka na angličtinu.

  • Konfigurace aktualizací bezpečnostního obsahu. Zadejte 2 a vyberte Nastavení a poté znovu zadejte 2 a vyberte Fortify Update. Nyní můžete použít aktualizační server Fortify Rulepack zadáním adresy URL jako https://update.fortify.com.
  • Zadejte sourceanalyzer a zkontrolujte, zda je nástroj plně nainstalován.

Fortify SCA nyní poběží na pozadí a zkontroluje veškerý váš kód, zda neobsahuje chyby zabezpečení.

Zabalit se

V této internetové éře se rozmohly případy hackování systémů a kompromitace dat. Naštěstí nyní máme nástroje, jako je Fortify Static Code Analyzer, které dokážou detekovat bezpečnostní hrozby během psaní kódu, posílat upozornění a dávat doporučení, jak se s takovými hrozbami vypořádat. Fortify SCA může zvýšit produktivitu a snížit provozní náklady při použití s ​​jinými nástroji.

Můžete také prozkoumat Software Composition Analysis (SCA), abyste zlepšili zabezpečení své aplikace.